Video: Così i marines si addestrano a combattere con le baionette (Settembre 2024)
Le cyber-spie escogitano elaborati rootkit e malware nascosti abilmente per sottrarre segreti e ascoltare comunicazioni privilegiate. Per installare questi strumenti spia, in genere si basano sull'elemento più debole nell'arena della sicurezza; l'utente. Le campagne educative per sensibilizzare alla sicurezza possono essere di grande aiuto, ma esiste un modo giusto e un modo sbagliato di procedere.
Alzando bandiere rosse
Il Washington Post ha riferito la scorsa settimana che un comandante di combattimento dell'esercito si è preso la responsabilità di valutare la capacità della sua unità di rilevare i messaggi di phishing. Il suo messaggio di prova ha indirizzato i destinatari (meno di 100 di loro) a visitare il sito Web del loro piano pensionistico per una reimpostazione della password richiesta. Tuttavia, il messaggio è collegato a un sito falso con un URL molto simile a quello reale per l'agenzia, Thrift Savings Plan.
I destinatari erano intelligenti; nessuno di loro ha fatto clic sul collegamento fasullo. Tuttavia, hanno condiviso l'e-mail sospetta con "migliaia di amici e colleghi", causando un flusso di chiamate all'attuale piano di risparmio dell'usato che è durato per settimane. Alla fine il capo della sicurezza del piano pensionistico rintracciò il messaggio in un dominio dell'esercito e il Pentagono rintracciò l'autore. Secondo il post, il comandante senza nome "non è stato rimproverato di agire da solo, perché le regole erano vaghe".
Il fatto che il Piano di risparmio dell'usato abbia subito una vera e propria violazione nel 2011 ha aggiunto al fattore di preoccupazione per i dipendenti federali interessati. Un funzionario della difesa ha detto al Post: "Queste sono le uova del nido della gente, i loro risparmi guadagnati duramente. Quando hai iniziato a sentire TSP di tutte le cose, il frantoio correva dilagante". L'agenzia continua a ricevere chiamate preoccupate in base al test di phishing.
Il post riporta che eventuali futuri test di phishing richiederanno l'approvazione del Chief Information Officer del Pentagono. Qualsiasi test che coinvolge un'entità del mondo reale come il piano di risparmio dell'usato richiederà l'autorizzazione anticipata di tale organizzazione. Il direttore esecutivo di TSP Greg Long ha chiarito chiaramente che la sua organizzazione non avrebbe partecipato.
Completamente sbagliato
Quindi, dove ha sbagliato questo comandante dell'esercito? Un recente post sul blog del CTO di PhishMe Aaron Higbee dice, beh, quasi ovunque. "Questo esercizio ha commesso tutti i peccati cardinali del phishing simulato mancando di obiettivi definiti, non considerando le ramificazioni che l'e-mail potrebbe avere, non riuscendo a comunicare a tutte le parti potenzialmente coinvolte e forse abusando di marchi / abiti commerciali o materiale protetto da copyright", ha affermato Higbee.
"Per essere efficace, un attacco di phishing simulato deve fornire al destinatario informazioni su come migliorare in futuro", ha affermato Higbee. "Un modo semplice per farlo è far sapere ai destinatari che l'attacco è stato un esercizio di addestramento e fornire addestramento subito dopo aver interagito con l'e-mail."
"Le persone spesso mettono in dubbio il valore fornito da PhishMe dicendo che possono condurre esercizi di phishing simulati internamente", ha osservato Higbee. "Quelli con quella mentalità dovrebbero prendere la recente gaffe dell'esercito come una storia di ammonimento." Identificando PhishMe come "i campioni indiscussi dei pesi massimi" dell'educazione al phishing, ha concluso, "Negli ultimi 90 giorni PhishMe ha inviato 1.790.089 e-mail. Il motivo per cui le nostre simulazioni di phishing non fanno titoli nazionali è che sappiamo cosa stiamo facendo".
Il modo giusto
Un'organizzazione che stipula un contratto con PhishMe per l'educazione al phishing può scegliere una varietà di stili di email di prova, nessuno dei quali implica la simulazione di terze parti come TSP. Ad esempio, possono generare un messaggio che offre ai dipendenti un pranzo gratuito. Tutto quello che devono fare è accedere al sito Web degli ordini per il pranzo "utilizzando il nome utente e la password della rete". Un altro approccio è un attacco a doppia canna che utilizza una e-mail per supportare la validità di un'altra, una tattica utilizzata negli attacchi di minacce persistenti avanzate nel mondo reale.
Qualunque sia lo stile della posta di phishing, qualsiasi utente che si innamora di essa riceve feedback e formazione immediati e la gestione ottiene statistiche dettagliate. Con ripetuti cicli di test e formazione, PhishMe mirava a ridurre il rischio di penetrazione della rete tramite phishing "fino all'80%".
La maggior parte delle organizzazioni è ben protetta dagli attacchi di rete che arrivano su Internet. Il modo più semplice per penetrare nella sicurezza è ingannare un impiegato credulone. La protezione dal phishing integrata nelle moderne suite di sicurezza funziona bene contro le truffe di tipo broadcast, ma gli attacchi mirati di "spear phishing" sono un'altra storia.
Se sei responsabile della sicurezza della tua organizzazione, devi davvero educare quei dipendenti in modo che non vengano ingannati. Potresti essere in grado di gestire tu stesso l'addestramento, ma in caso contrario, i trainer di terze parti come PhishMe sono pronti ad aiutarti.
